g-docweb-display Portlet

Parere su di uno schema di regolamento di disciplina delle modalità di realizzazione e gestione della banca dati delle strutture ricettive e degli immobili destinati alle locazioni brevi - 8 luglio 2021 [9688040]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9688040]

Parere su di uno schema di regolamento di disciplina delle modalità di realizzazione e gestione della banca dati delle strutture ricettive e degli immobili destinati alle locazioni brevi - 8 luglio 2021

Registro dei provvedimenti
n. 263 dell'8 luglio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, l’avvocato Guido Scorza e il dott. Agostino Ghiglia, componenti e il cons. Fabio Mattei, segretario generale;

Vista la richiesta di parere del Ministero del turismo;

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito Regolamento) e, in particolare, l’articolo 36, par. 4;

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito: “Codice”) e, in particolare, l’articolo 154, comma 5;

Vista la documentazione in atti;

Viste le osservazioni del segretario generale, formulate ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Il Ministero del turismo ha richiesto, ai sensi degli articoli 36, paragrafo 4 e 57, paragrafo 1, lettera c) del Regolamento, il parere del Garante su di uno schema di regolamento di disciplina delle modalità di realizzazione e gestione della banca dati delle strutture ricettive e degli immobili destinati alle locazioni brevi, istituita dall’articolo 13-quater, comma 4, del decreto legge 30 aprile 2019, n. 34, convertito, con modificazioni, dalla legge 28 giugno 2019, n. 58, come modificato dalla legge 30 dicembre 2020, n. 178. L’acquisizione del parere del Garante è stata, peraltro, espressamente richiesta dal Consiglio di Stato in sede di parere interlocutorio (n. 1055 della Sezione consultiva per gli atti normativi in data 8 giugno u.s.) su di una versione precedente dello schema di regolamento.

La competenza del Ministero del turismo all’adozione del decreto- assegnata dalla legge al Ministro per i beni e le attività culturali e per il turismo- deriva dal disposto di cui all’articolo 22 del decreto-legge 1° marzo 2021, n. 22, convertito, con modificazioni, dalla legge 22 aprile 2021, n. 55, istitutiva del Dicastero, cui sono state attribuite le funzioni e i compiti spettanti allo Stato in materia di turismo, eccettuati quelli attribuiti ad altri ministeri o ad agenzie e fatte salve le funzioni conferite alle Regioni ed agli enti locali.

Tra le funzioni trasferite rientrano anche quelle relative alla gestione della banca dati istituita ai sensi del richiamato articolo 13-quater del decreto-legge n. 34 del 2019, volta a “raccogliere ed ordinare le informazioni inerenti alle strutture ricettive e agli immobili ” destinati alle locazioni brevi.

Come si evince dall’incipit dello stesso comma 4 dell’articolo 13-quater, l’istituzione della banca dati è funzionale alla “tutela dei consumatori”, ai quali si intende offrire uno strumento utile a identificare l’offerta turistica globale, nel peculiare contesto delle strutture ricettive e degli immobili destinati alle locazioni brevi. In tal senso, la banca di dati intende unificare a livello statale gli elenchi delle strutture ricettive già presenti a livello regionale, omologando tra l’altro i criteri definitori delle tipologie di ricettività variamente disciplinati dalle Regioni.

A tale scopo, al regolamento in esame è demandata, ai sensi dell’ultimo periodo del comma 4 dell’articolo 13-quater, per effetto dell’abrogazione del previgente comma 5, la disciplina delle modalità di realizzazione e di gestione della banca di dati e di acquisizione dei codici identificativi regionali, nonché delle modalità di accesso alle informazioni ivi contenute.

RILEVATO

L’articolo 1 dello schema di regolamento individua le informazioni relative alle strutture ricettive e agli immobili destinati alle locazioni brevi, raccolte ed ordinate nella banca dati (tipologia di alloggio, ubicazione, capacità ricettiva, estremi del titolo abilitativo, soggetto che esercita l’attività ricettiva, codice identificativo regionale, ove adottato). Si prevede altresì che, con riferimento alle strutture ricettive e agli immobili destinati a locazioni brevi, ubicati in una Regione o in una Provincia autonoma sprovvista di un proprio codice identificativo, la banca di dati possa generare un codice alfanumerico, recante l'indicazione della tipologia di alloggio, della Regione o della Provincia autonoma e del Comune di ubicazione.

L’articolo 2 definisce le modalità di realizzazione e gestione della banca di dati, con menzione dei soggetti coinvolti.

Il comma 1 prevede, segnatamente, che la banca di di dati sia realizzata e gestita mediante apposita piattaforma informatica, da un soggetto selezionato secondo le procedure previste dalla normativa vigente, anche avvalendosi delle banche dati regionali, delle Province autonome e del Sistema camerale.

Uno specifico protocollo d’intesa tra Ministero del turismo, Regioni e Province autonome, da sottoscriversi entro novanta giorni dalla pubblicazione del regolamento, definirà in particolare le modalità di realizzazione della cooperazione tra le amministrazioni interessate, ove necessario per il più efficiente scambio d’informazioni, nonché le modalità di aggiornamento della banca di dati e il monitoraggio dell’efficacia delle soluzioni tecniche prescelte. 

Molto opportunamente, il comma 5 dell’articolo 2 demanda alla Direzione generale della programmazione e delle politiche del turismo il compito di monitorare, con cadenza almeno annuale, l’attuazione del regolamento, per verificare l’idoneità della banca di dati a perseguire gli obiettivi prefissi di tutela dei consumatori e della concorrenza, nonché di miglioramento dell’offerta turistica anche mediante riduzione della componente irregolare.

L’articolo 3 reca, inoltre, disposizioni relative agli obblighi di pubblicità dei codici identificativi regionali o dei codici alfanumerici sostitutivi, il cui inadempimento è soggetto a sanzione amministrativa secondo quanto previsto dal comma 8 del citato articolo 13-quater. Si dispongono, inoltre, obblighi di pubblicazione delle informazioni contenute nella banca di dati.

L’articolo 4 reca, infine, la copertura finanziaria.

RITENUTO

L’alimentazione e la gestione della banca di dati, nei termini previsti dal regolamento, presuppone  – come sottolineato anche dal parere interlocutorio del Consiglio di Stato- un trattamento di dati anche personali e, in particolare, di quelli inerenti il soggetto esercente l’attività ricettiva, anche in forma di locazione breve (art. 1, c.2, lett.e), funzionale allo scopo d’informazione sull’offerta turistica globale sotteso all’istituzione della banca di dati stessa.

Il trattamento presupposto dallo schema di regolamento - svolto evidentemente nell’esercizio di pubblici poteri o di un compito di pubblico interesse- necessita di una più compiuta definizione normativa, al fine di soddisfare i requisiti  prescritti dagli articoli 6, par.1, lett.e) e 3 del Regolamento, nonchè 2-ter del Codice.

E’ pertanto opportuno anzitutto individuare- nel rispetto del principio di minimizzazione di cui all’articolo 5, paragrafo 1, lettera c) del Regolamento- le tipologie di dati personali di cui si legittima (in quanto funzionale allo scopo perseguito) il trattamento e, segnatamente, la stessa acquisizione presso le banche di dati delle Regioni e delle Province autonome, specificando in tal senso il disposto normativo. Se, infatti, è la stessa norma di legge a prevedere l’obbligo, da parte di Regioni e Province autonome, di trasmissione al Ministero dei “dati inerenti alle strutture ricettive e agli immobili [destinati a locazioni brevi] con i relativi codici identificativi regionali, ove adottati”, la definizione di tale comunicazione in termini di avvalimento di banche dati (art.2, c.1, primo periodo) non sembra del tutto corretta, almeno sotto il profilo della protezione dei dati. E questo, soprattutto in relazione al Sistema camerale, non contemplato espressamente dall’articolo 13-quater. Tale profilo andrebbe dunque meglio allineato al disposto legislativo.

E’ auspicabile, peraltro, chiarire se tra i titoli abilitativi di cui all’articolo 1, comma 2, lettera d), siano compresi anche dati personali.

Va, inoltre, meglio descritta (anche a fini di certezza normativa e trasparenza del trattamento) la sua complessiva articolazione, chiarendone più puntualmente i profili oggettivi e soggettivi. In tal senso, è opportuno indicare il titolare e il responsabile del trattamento (rispettivamente, parrebbe, il Ministero e il soggetto di cui all’articolo 2, comma 1, primo periodo). Vanno poi indicate le modalità attraverso le quali vengono fornite agli interessati le informazioni sul trattamento e viene consentito l’esercizio dei diritti loro riconosciuti dalla disciplina di protezione dati, ai sensi e per gli effetti di cui agli articoli da 12 a 22 del Regolamento.

E’ anche opportuno disciplinare - conformemente al principio di cui all’articolo 5, paragrafo 1, lettera e), del Regolamento-  i tempi di conservazione dei dati personali all’interno della Banca dati e gli effetti (in particolare in termini di cancellazione) che conseguano allo scadere del termine.

La disciplina da integrare nel testo non deve, poi, omettere di considerare i profili  relativi alla sicurezza del trattamento (anche ai fini di cui all’articolo 32 del Regolamento) e alla gestione degli accessi da parte delle persone autorizzate, ai sensi degli articoli 29 del Regolamento e 2-quaterdecies del Codice.
Sarebbe, inoltre, opportuno prevedere il parere del Garante relativamente al protocollo d’intesa di cui all’articolo 2, comma 2, tenuto tra l’altro a disciplinare le modalità di realizzazione della cooperazione tra le amministrazioni coinvolte, funzionale al “più efficiente scambio di informazioni”, nonché i modi con i quali i dati vengono aggiornati e con cui viene svolto il monitoraggio dell’efficacia delle soluzioni tecniche prescelte.

CONSIDERATO

L’articolo 3 dello schema di regolamento dispone, tra l’altro, la pubblicazione, sul sito istituzionale del Ministero, delle “informazioni contenute nella banca dati”. Tale previsione integra un’ipotesi di diffusione (anche) di dati personali che, ai sensi dell’articolo 2-ter, comma 3, del Codice, necessita di un disposto legislativo o, nei casi previsti dalla legge, regolamentare.

Tale diffusione può considerarsi funzionale alle finalità informative assegnate dalla legge alla banca di dati e in questa misura sottesa, sia pur implicitamente, alla previsione dell’articolo 13-quater, nel testo modificato dalla legge n. 178 del 2020.

Va sul punto osservato che, prima di tale novella la lettera c) del comma 5 dell’articolo 13-quater includeva espressamente, nell’ambito dell’oggetto del regolamento attuativo, le modalità di “pubblicazione nel sito internet istituzionale del Ministero” delle “informazioni contenute nella banca dati”. Con la l. 178 del 2020 tale previsione (unitamente all’intero comma 5) è stata, invece, soppressa.
Il mutamento del dettato normativo non può, tuttavia, ritenersi indice univoco della volontà legislativa di modificare il regime di conoscibilità delle informazioni in esame, la cui disciplina è demandata dalla legge al presente regolamento, dal momento che la finalità ascritta alla banca dati (ovvero la tutela del consumatore) ben può contemplare un regime ampio di conoscibilità.

In tal senso, è auspicabile che la definizione delle modalità di accesso alle informazioni contenute nella banca dati sottenda una congrua ponderazione tra le esigenze di tutela del consumatore e il diritto alla protezione dei dati personali.

IL GARANTE

ai sensi degli articoli 36, paragrafo 4, e 57, paragrafo 1, lettera c), del Regolamento, esprime parere favorevole, sullo schema di regolamento avente ad oggetto le modalità di realizzazione e di gestione della banca dati delle strutture ricettive e degli immobili destinati alle locazioni brevi istituita dall’articolo 13-quater del decreto legge 30 aprile 2019, n. 34, convertito, con modificazioni, dalla legge 28 giugno 2019, n. 58, con:

a) la condizione descritta nel “Ritenuto”, volta a sottolineare l’esigenza di integrare lo schema di regolamento, nei termini ivi indicati, individuando in particolare il titolare e il responsabile del trattamento, la tipologia dei dati personali trattati e le modalità della loro acquisizione, i modi in cui vengono fornite agli interessati le informazioni dovute e viene loro consentito l’esercizio dei diritti; i tempi di conservazione dei dati personali all’interno della banca di dati; i profili  relativi alla sicurezza del trattamento e alla gestione degli accessi da parte delle persone autorizzate;

b) l’osservazione di cui al “Considerato”, volta a suggerire di ponderare le modalità di accesso alle informazioni contenute nella banca dati bilanciando le esigenze di tutela del consumatore (ascritte dalla legge alla banca dati) e il diritto alla protezione dei dati personali.

Roma, 8 luglio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei